ドメインコントローラの同期を取るには？

サーバー管理をしている者ですが、困ったことが起きているので経験者の方がおられましたら、教えて下さい。

ActiveDirectoryのPDCサーバーにHW障害が発生し、部品交換をした後に、ADのアクセス権が正しく設定できなくなってしまったり、ログインができなくなったりする現象が起きています。

DCDIAGやREPADMINなどのコマンドで調べると、PDCとBDCの同期が取れてないことが判りました。
PDCは正常のようですが、BDCにログインしている時にドメイン情報がうまく取れないようです。

方法として、ネットで調べると様々なことが書いてあり、
１．BDC側でレプリケーションのサービスを止めて、再起動すればOKだとか、
　net stop ntfrs
　rd /s /q c:\windows\ntfrs\jet
　net start ntfrs
２．BDCを一旦、普通のサーバーに降格させて再度PDCにするとか、
　dcpromo /forceremoval
　ドメインからの解除
　ntdsutil
書いてあるのですが、いずれも再起不能になってしまうのが恐ろしくて実施に至ってません。
単純に考えると、１の手段のほうが万が一のダメージの場合も影響が少ないような気がします。

起因がHW交換に伴うものなので、担当したCEの責任を追及しているのですが、CE部隊ではこうしたSE作業が出来るメンバーが居ないらしくなかなか動いてくれません。
HWとSWの狭間というか、こうした問題は保守契約作業の範疇に入らないのも変な気がします。

簡単に解決できるものなら行いたいのですが、そうした問題なんでしょうか？
経験者の方がおられましたらアドバイス頂けたら有難いです。

No.5 ベストアンサー 回答者： maesen 回答日時： 2013/08/13 19:02

dcdiagの結果を見るとセキュリティチャンネルが破損しているためにレプリケーションが出来ない状態のように見えます。

一応ここが参考になるかもしれません。
http://support.microsoft.com/kb/288167/ja

ただ、載せて頂いたdcdiagの結果は全てでは無いとのことですので、他にも問題を抱えているかしれません。
そのため、BBBを降格する方向の方が良いと思います。（つまり、2の手順）
ただ、OSがWindows Server 2003 R2ということですのでWindows Server 2008以降で追加されたdcpromo /forceremovalは使用できません。
こちらの手順を実施することになります。
http://support.microsoft.com/kb/216498/ja

なお、上記のWebサイトに書かれている方法でADからBBBの情報を削除してもBBBは壊れたDCのままですのでBBBはOS再インストールするほうがいいでしょう。

DCの強制的な降格はもう何十回と実施していますが、特にトラブルが発生したことはありません。
手順をきちんとして作業すれば問題無いと思います。

この回答への補足

作業員が、ご指摘の方法の通り、降格～ドメイン再参加の手順で作業を行い、無事数時間で復旧することができました。やれやれです。

アドバイス参考になりました。有難うございます。

補足日時：2013/08/21 19:16

この回答へのお礼

お礼が遅れまして大変失礼しました。

メーカーは保守作業により、時刻のズレが生じてセキュアチャネルが破損しているとの見解を認めました。
仰る通り、ドメインの降格により、同期を取り直す作業の実施を立ち合って貰うことで同意が取れました。
どうも有難うございました。

お礼日時：2013/08/20 18:15

No.4 回答者： EF_510 回答日時： 2013/08/08 14:54

操作マスターの時刻は正しいですか？

どうもActiveDirectoryがきちんと構成されているのか疑問になってきました。

まず、PDCとやらの時刻を正しく構成してください。
次にドメインメンバーと時刻の同期が取れているかを確認します。
最後に追加のコントローラーを構成します。（２の手順を実施する）

マスターになるコントローラーの時刻があやふやだから他のコントローラーに影響するのではないですか？

そして、それはハードウェアの問題ではなく、システム構成の問題です。

この回答へのお礼

お礼が遅れまして大変失礼しました。

メーカーは保守作業により、時刻のズレが生じてセキュアチャネルが破損しているとの見解を認めました。
長い時間が掛かりましたが、結局、ドメインの降格により、同期を取り直す作業の実施を立ち合って貰うことで同意が取れました。
どうも有難うございました。

お礼日時：2013/08/20 18:13

No.3 回答者： maesen 回答日時： 2013/08/07 09:36

詳細な情報が無いのでなんともいえませんが、

ただ、詳しい情報が無くこんな感じのことが発生したという情報で解決できるほどには簡単なものでは無いように思います。
dcdiagでfailedがあるのならその部分だけでも提示するとか、イベントログにも関連のエラーが出ているはずなのでそれを提示されたほうがよろしいかと。

1.の手順はファイルレプリケーションの再構成なので、問題がファイルレプリケーションにあり他の問題が発生していなければ解決の可能性があります。
内容を見る限りではこれでは解決しない可能性が高いと思われます。
そもそもWin2008R2以降の場合はFRSを使用していないかもしれないですし。

実施するのならば2でしょう。
その場合は、他の方も書かれていますがバックアップと操作マスタの確認は必須です。
問題となっているDCを切り離すことが出来たらOS再インストールするつもりならばdcpromo /forceremovalは不要で
こちらだけを実施すればいいでしょう。
http://support.microsoft.com/kb/216498/ja

あと、これも他の方も書かれていますがPDCとBDCはやめましょう。
NT4.0時代つまりActive DirectoryではないNTドメインの用語なので。
用語が正しくないということは理解していません言っているようなものですから。
PDC、BDCと言っていると問題の本質が理解できなくなるのが懸念されます。

この回答へのお礼

maesenさん、アドバイス有難うございました。
お礼が遅れてしまいまして失礼いたしました。

ご相談したのは、事が重大なのか、簡単に治ったりするような比較的単純なことかを知りたかったため、敢えて詳しいログは出しませんでした。
これだけの情報では重大なのかそうでないかを判断することも難しいかもしれませんね。

全部は出せませんので、DCDIAGの結果は以下のような感じです。
BBBのほうがAAAに対して同期が取れていないように見えます。

Testing server: Default-First-Site-Name\AAA
Starting test: Replications
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source BBB
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
REPLICATION LATENCY WARNING
ERROR: Expected notification link is missing.
Source BBB
Replication of new changes along this path will be delayed.
This problem should self-correct on the next periodic sync.
......................... AAA passed test Replications

Testing server: Default-First-Site-Name\BBB
Starting test: Replications
[Replications Check,BBB] A recent replication attempt failed:
From AAA to BBB
Naming Context: CN=Schema,CN=Configuration,DC=mydomain,DC=local
The replication generated an error (-2146893022):
対象のプリンシパル名が間違っています。
The failure occurred at 2013-07-18 17:47:44.
The last success occurred at 2013-05-31 11:46:56.
1158 failures have occurred since the last success.
[AAA] DsBindWithSpnEx() failed with error -2146893022,
対象のプリンシパル名が間違っています。.
[Replications Check,BBB] A recent replication attempt failed:
From AAA to BBB
Naming Context: CN=Configuration,DC=mydomain,DC=local
The replication generated an error (-2146893022):
対象のプリンシパル名が間違っています。
The failure occurred at 2013-07-18 18:10:12.
The last success occurred at 2013-05-31 11:52:28.
2726 failures have occurred since the last success.
[Replications Check,BBB] A recent replication attempt failed:
From AAA to BBB
Naming Context: DC=mydomain,DC=local
The replication generated an error (-2146893022):
対象のプリンシパル名が間違っています。
The failure occurred at 2013-07-18 18:12:17.
The last success occurred at 2013-05-31 12:01:12.
51453 failures have occurred since the last success.
REPLICATION-RECEIVED LATENCY WARNING
BBB: Current time is 2013-07-18 18:12:32.
CN=Schema,CN=Configuration,DC=mydomain,DC=local
Last replication recieved from AAA at 2013-05-31 11:46:56.
CN=Configuration,DC=mydomain,DC=local
Last replication recieved from AAA at 2013-05-31 11:52:28.
DC=mydomain,DC=local
Last replication recieved from AAA at 2013-05-31 12:01:12.
......................... BBB passed test Replications

お礼日時：2013/08/12 15:23

No.2 回答者： m-take0220 回答日時： 2013/08/07 02:28

＞ DCDIAGやREPADMINなどのコマンドで調べると、PDCとBDCの同期が取れてないことが判りました。

同期がとれていないというのがどんな状況なのかによりますが。
FSMOを担っていたDCを、役割を移動せずに停止したために、本来1つのDCにしかないはずの機能が複数のDCで動作して、お互いの変更が反映されなくなるというのは、良くある障害ですが。

ActiveDirectoryなら、PDC、BDCという呼び方はしないので、その辺から勉強したほうがいいかもしれません。PDCエミュレータという役割は存在するので、PDCという言葉は使うことがあっても、BDCはまず使いません。

＞ いずれも再起不能になってしまうのが恐ろしくて実施に至ってません。

どんな操作でも、危険はつきものです。
以前の状態に戻せるようにバックアップ等の対策をしてから作業するべきです。
環境が用意できるのであれば、P2Vで仮想マシンを作成して、仮想環境で試してみるという手もあります。

この回答へのお礼

コメント有難うございました。

PDC、BDCという言葉は今は使わないんですね。勉強になりました。

ネットで検索しても、たくさん出てくるので、よくある障害なんですね。
社内SEさんは自社対応されてるんでしょうか？
そうした対応のできる要員体制が取れないのと、SW保守契約も入っていないので、その辺を考えていかないといけないようですね。

お礼日時：2013/08/08 12:21

No.1 回答者： EF_510 回答日時： 2013/08/07 00:24

ここで言うところの「再起不能」とはどのような状態ですか？

とりあえずOSとかは書きましょう。

操作マスター（FSMO)などがどこにいるのかをはっきりさせて、まずは1台に集約してください。

BDCがドメインのサービスだけを提供しているのであれば降格させる手順の方が手っ取り早いかもしれません。最悪、同じアドレスでインストールをやり直せば良いだけですし…

また、PDCのハードウェア保守が原因でBDCが…なのにCEの責任はないと思いますし、現在の主流ではハードウェアの保守契約とOSなどの保守契約は明確に別れています。

この回答へのお礼

有難うございました。

詳しい情報が漏れておりまして失礼しました。
サーバーはWindows2003R2です。
再起不能とは、ドメインの認証が完全にできなくなってしまうことをイメージしています。
現在は、サブドメインで認証している場合のみ異常な振る舞いをしているようなので、最悪はサブドメインを止めれば見かけ上は正しく動作するんじゃないかと思うのですが。

保守契約の範囲はそうだと思うのですが、設置作業の段階でBIOSの時間設定をしてから起動しないといけないというCE作業が漏れていた可能性が高いと思うので、納得がいきません。
（先方も半ばそれを認めています）

お礼日時：2013/08/08 12:02